“AV终结者”木马专杀工具 专杀工具下载: 金山毒霸 http://zhuansha.duba.net/259.shtml 瑞星 http://shadu.baidu.com/zhuansha/downloadZS.jsp?id=148 其他的杀毒软件就不一一列举了，大家尽量关注自己的电脑，把病毒库更新到最新，装上专杀工具扫描一下。 各类U盘，最好是在使用前扫下毒，以免出现不好的状况。 关键大家还是需要养成一个好的上网习惯，那样就会好很多。 常在河边走，哪有不湿鞋。多注意保护自己的电脑。 U影管理团队

名词解释：AV终结者 = Anti Virus killer（杀毒软件终结者）

AV终结者挑战反病毒行业　危害赶超熊猫烧香 近曰，被称为“安全杀手”的AV终结者病毒愈演愈烈，截止6月12曰，变种数已达500多个，波及人群超过10万人。金山毒霸反病毒专家戴光剑指出，“AV终结者”病毒破坏过程被精心策划，一旦感染，几乎所有的解决途径均遭破坏，很难清除。 　　6月8曰，金山毒霸发布紧急预警，“AV终结者”病毒导致大量安全软件无法正常使用，用户系统安全面临严峻威胁；短短三天之后，6月12曰，“AV终结者”危害行为变得更加恶劣，杀毒软件被禁用，反病毒网站无法打开，安全模式遭破坏，格式化系统盘后病毒仍无法清除，用户电脑的安全性被大大降低，电脑内的重要信息、机密文件、网络财产等面临严峻威胁。 　　金山毒霸反病毒专家戴光剑表示，“AV终结者”集目前最流行的病毒技术于一身，而且破坏过程经过了严密的“策划”，普通用户一旦感染该病毒，从病毒进入电脑，到实施破坏，四步就可导致用户电脑彻底崩溃： 　　1. 禁用所有杀毒软件以相关安全工具，让用户电脑失去安全保障； 　　2.　破坏安全模式，致使用户根本无法进入安全模式清除病毒； 　　3.　强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法； 　　4.　格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。 　　经过“AV终结者”的精心“策划”，用户电脑的安全防御体系被彻底摧毁，安全性几乎为零，而“AV终结者”并未就此罢手，自动连接到某网站，大量下载数百种木马病毒，各类盗号木马、广告木马、风险程序用用户电脑毫无抵抗力的情况下，鱼贯而来，用户的网银、网游、QQ帐号密码以及机密文件都处于极度危险之中。 　　据了解，“AV终结者”变种仍在不断更新，如果不即及时进行查杀，广大用户利益将面临更大威胁。基于“AV终结者”危害的严重性，金山毒霸呼吁所有反病毒厂商对该病毒进行联合绞杀。 　　根据该病毒的传播特点，基于该病毒危害严重，金山毒霸反病毒中心第一时间推出了专杀工具，用户利用专杀工具进行查杀，[立即下载专杀工具]。此外由于遭遇该病毒破坏的电脑无法登陆反病毒网站，用户可到正常电脑或全国各大软件专卖店下载“AV终结者”专杀工具，然后接到中毒电脑中进行查杀。 AV终结者全面解读 金山毒霸提供整体解决方案 近曰，被称为“安全杀手”的AV终结者病毒愈演愈烈，截止到6月12曰，变种数已达500多个，波及人群超过10万人。金山毒霸反病毒专家戴光剑指出，“AV终结者”病毒的破坏过程被精心策划，用户一旦感染，几乎所有的解决途径均遭破坏，很难清除。 　　“AV终结者”中毒感染现象 　　1.　生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。 　　2.　绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。即使手动删除了病毒程序，下次启动这些软件时，还会报错。

　　3.　不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。 　　4.　禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。

　　5.　破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复 　　6.　当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。 　　7.　在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。这里要注意的是，很多用户格式化系统分区后重装，访问其它磁盘，立即再次中毒，用户会感觉这病毒格式化也不管用。 　　8.　病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。 　　“AV终结者”中毒后4步解决方案 　　因为这个病毒同样会攻击金山毒霸，已经中毒的电脑会发同金山毒霸不能启动，双击没反应。利用手动解决相当困难，并且，AV终结者是一批病毒，不能简单的通过分析报告来人工删除。我们推荐的清除步骤如下： 　　1.　在能正常上网的电脑上登录金山毒霸网站下载AV终结者病毒专杀工具 　　下载地址：http://zhuansha.duba.net/259.shtml 　　2.　在正常的电脑上禁止自动播放功能，以避免通过插入U盘或移动硬盘而被病毒感染 　　[禁止方法图示]，把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上，然后再复制到中毒的电脑上。 　　3.　执行AV终结者专杀工具，清除已知的病毒，修复被系统配置。

　　（注：AV终结者专杀工具的重要功能是修复被破坏的系统，包括修复映像劫持；修复被破坏的安全模式；修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。） 　　4.　不要立即重启电脑，然后启动杀毒软件，升级病毒库，进行全盘扫描。以清除木马下载器下载的其它病毒。

　　如何防范“AV终结者”？ 　　因为AV终结者病毒一旦感染，清除过程相当复杂，可能不少用户就会去重装。我们建议用户不要轻易重装系统，使用我们推荐的步骤完成清除，必要时拨打客服电话，请求支持。请采取以下措施防范AV终结者病毒 　　1.　使用金山网镖或Windows防火墙，可有效防止网络病毒通过黑客攻击手段入侵。 　　2.　使用金山毒霸的漏洞修复功能或者windows update来修补系统漏洞，特别需要注意安装浏览器的最新补丁。 　　3.　升级杀毒软件，开启实时监控 　　4.　网管采取综合措施防范ARP攻击挂马事件，有关ARP攻击的解决办法请点击这里。 　　5. 关闭windows的自动播放功能 追本溯源揭秘“AV终结者”病毒的生态链 论坛中有关“AV终结者”病毒的咨询，仍然在继续增长，原来我还以为这个病毒中了之后，用户会很快发现杀毒软件工作异常，然后就会想办法去处理掉这个病毒，病毒的隐蔽性就不会太强。但事实不是这样的，多数用户对杀毒软件不能正常工作并不觉得有异常。因为，此时系统的其它功能基本不受影响，病毒也不会影响系统性能或影响网速。以致于已经中毒的系统还可以申请远程协助，以完成手工杀毒操作。 我在思考另一个问题——“AV终结者”病毒，是否和“熊猫烧香”一样，是盗号集团的杰作？？ 首先来看一下“AV终结者”病毒程序本身设计的传播功能——程序自身仅能通过U盘或移动硬盘传播。一个具备如此简单传播方式的病毒，如何能引起这样大规模的传播呢？仅仅靠病毒程序的自然衍生，显然不能做到这一点。那么，这个病毒极可能是人为操纵的结果。 那么“AV终结者”病毒，最开始是通过什么途径入侵的呢？这个病毒后面是不是还隐藏着更多的迷？ 在AV终结者之前，有两类病毒值得我们去关注，一是“Risk.exploit.ani”病毒，是利用ANI漏洞广泛挂马。另一类，是利用ARP欺骗，劫持整个局域网会话，被劫持的局域网电脑用户访问任何网站都会同时从16.us站点（还有更多的下载站）下载木马。 和熊猫烧香病毒案比起来，“AV终结者”表现得更加隐蔽，该病毒对抗杀毒软件的伎俩差不多发挥到了极致。整个“AV终结者”病毒传播链条之复杂程度，远超过熊猫烧香。“AV终结者”病毒已经具备了企业化、公司化运作的特征。“AV终结者”病毒传播链接大致包括以下三个阶段。 第一阶段：传播“AV终结者”病毒 最快速有效的传播手法，是通过攻击企业公共服务器（通常是IDC机房托管的服务器），攻击成功后，直接在服务器上植入木马，再利用ANI漏洞迅速传播。不仅如此，攻击者还会在被攻陷的服务器上植入ARP攻击程序，成功将挂马成果扩大到整个机房。类似的手法，可以在攻入企业内部网后，发起ARP攻击行为，迅速让挂马现象在整个公司网络中漫延。 另一种作法更直接，直接把制作完成的“AV终结者”病毒通过U盘，在网吧等公共上网场所人为传播。方法很简单，到目标机器上插一下U盘就办到了。 第二阶段：“AV终结者”病毒活跃期 “AV终结者”病毒成功入侵后，几乎可以把中国用户常用的各种杀毒软件、系统配置管理软件全部劫持，关闭windows防火墙和Windows自动更新。为防止用户通过安全模式清除病毒，病毒干脆修改系统配置，不允许系统启动到安全模式。这样做的目的很明确——就是迅速令中毒系统丧失安全防范能力。 第三阶段：木马活跃期 经过前一阶段的准备，“AV终结者”成功的让中毒的电脑系统完全丧失安全防范能力。然后，病毒内置的下载器功能大显身手，数10种不同功能的木马后门程序通过“AV终结者”病毒下载到已经中毒的电脑上，这些木马后门程序会拿走木马控制者所感兴趣的任何东西。中毒电脑上最终的受损情况，要取决于木马控制者的喜好。 为何判断这是盗号集团在企业化公司化运作？ 理由是，在上面“AV终结者”病毒发展的三个阶段中，任一阶段均使用了多种不同的病毒和攻击手段，病毒不再是单打独斗，而是发展到协同作战的程度。其复杂度体现在：传播阶段的手法多样性；入侵后对抗杀毒软件技术的复杂性；木马收获阶段，几乎面面俱到，无所不拿。综合这些特点，很难想像，一个人或者仅仅几个人如何去完成这种复杂的任务。 谁在指挥这个复杂的利益链？ 答案当然是受益者，“AV终结者”病毒会自动连接到一些服务器下载各种木马，这些服务器成为整个利益链条中的聚合器。那么，拥有或控制这些站点的人，应该是“AV终结者”病毒利益链中最直接的受益者。 我们分析了部分“AV终结得”病毒的下载站，发现变种不同，下载站也会有所区别。这里仅公布其中一个下载站的信息：

WHOIS Results for: 100000000000000000000000000000.cn Domain Name: 100000000000000000000000000000.cn ROID: 20070314s10001s35110810-cn Domain Status: ok Registrant Organization: 蓝色精灵 Registrant Name: 蓝色精灵 Administrative Email: shenzhenkeji@hotmail.com Sponsoring Registrar: 北京新网互联科技有限公司 Name Server:ns1.dns.com.cn Name Server:ns2.dns.com.cn Registration Date: 2007-03-14 18:27 Expiration Date: 2008-03-14 18:27

一个叫蓝色精灵的组织在2007年3月14曰使用shenzhenkeji@hotmail.com注册了100000000000000000000000000000.cn域名，有一个“AV终结者病毒”的变种从这个站提供了大量的木马下载，拥有这个站点或控制这个站点的人，有重大作案嫌疑。 熊猫烧香的作者李俊落网了，李俊肯定不会是唯一的，下一个会是谁呢？(责任编辑：李磊)

貌似，中毒了都可以重装系统就可以了吧，我一直都是这么过来的，没去装杀毒软件